Google erzwingt falsche Links
 

Hallo ihr Helfer meines Problems.

Ich sitze jetzt seit fünf Stunden an meinem Laptop und versuch alles was in meiner Macht steht um ihn wieder vernünftig zum laufen zu bringen.
Ich hab gemerkt das was nicht stimmt, als mein Google mich andauern auf irgendwelche komischen Seiten weiter geleitet hat.
Ich hab alles durchgelesen und versucht zu verstehen, aber es dauert auch ewig auf die nächste Seite zukommen. (für das TrojanerForum hab ich mal an die 30 min gebraucht)

Ich hoffe ihr könnt mir mit meiner LogFile weiterhelfen.
Ich bedanke mich schon mal im voraus. R.

Code Tags

Hi,

das HJ-Log gibt nicht viel her, daher liegt der verdacht auf was "verstecktes" nahe....

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Danach noch scannen mit MAM:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

so, hab jetzt auch das erledigt
zusätzlich hab ich Tröjan.Vundo.H 7x gefunden.?


aber
Der Text, den Sie eingegeben haben, besteht aus 26212 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

wie gehe ich damit vor?

Hi,

poste es in zwei Teilen...

chris

wieso komm ich da nicht selbst drauf. merk ich mir.

Teil II

Hmm, für mich hört sich das an als ob du nen DNSChanger drin hast. Die Google sympthome deuten daraufhin. Schau doch bitte mal in deine netzwerkverbindung. Rechtsklick auf deine Internetverbindung / Eigenschaften / suche den Eintrag TCP/IP, markiere ihn und drücke Eigenschaften. Letzte Einträge, beziehst du deine DNS automatisch oder stehen da IP Nummern beginnend mit 85.255.XXX.XXX ?

Ich seh grad: Du hast Bitdefender drauf, kann sein das Teile dieses Viruses schon eliminiert wurden und somit keinerlei IP im DNS autaucht. vergewissere dich das DNS beziehen auf automatisch zieht. Ich schalge vor du lässt mal Gmer laufen und postest das Logfile. Schaun wir mal.

Gmer gibts hier:

http://www.gmer.net/gmer.zip

Einach laufen lassen und wenn er meckert den Scan machen lassen. Den Log hier posten...

es steht auf automatisch beziehen (bei IPv6 und auch bei IPv4)



ich habe es nach einer der anleitungen diese forums mit malwarebytes' Anti-Malware probiert und es wurde mir zu vertsehen gegeben, dass ich Trojan.Vundo.H (in 7 verschx. Objekten) in der Quarantäne habe.


Der Log von gmer kommt sofort im anschluss

sollte ich vllt den Bitdefender beim Durchlauf von GMER ausschalten?

Hallo aces
Soweit so gut. Ich kann kein Rootkit erkennen Über entsprechende Einträge verfügt der Gmer Log NICHT. Ich denke der Großteil der Arbeit ist gemacht, möchte aber hier chris4you nicht weiter in die Parade fahren. Ich denke er hat schon eine Strategie die dein system retten wird.... Ich drück die Daumen

Hi,

Du hast sehr viele neue Files/Programme auf dem Rechner,
das macht die Sache etwas "unübersichtlich"...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Du hast in dem Mountpoint einige autoruns drin, gewollt?
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9647d6ab-fab1-11dd-baa3-00037a95202a}]
\shell\AutoRun\command - G:\autorun.exe
\shell\directx\command - g:\directx9\dxsetup.exe
\shell\setup\command - G:\setup.exe
Sonst per Regedit die Schlüssel löschen...

Wirst Du noch umgeleitet?

chris

Diese Datei hab ich nicht gefunden.
nur z.B. spldr.sys oder spsys.sys

Diese Datei finde ich auch nicht um sie hochzuladen.


Gibt es denn einen Unterschied bei der Bezeichnung von Drivers und der Bezeichnung drivers
(außer die Groß/Kleinschreibweise) ?

@Chris4You
Gewollt ist das sicher nicht. Ich muss zugeben ich hab echt wenig ahnung von dem, was in einem Läptop geschieht. was nicht heißen soll, das ich es mich hindert es verstehen zu wollen.
Ich bin deinen Tipp mit RegEdit nachgegangen und hab das alles entfernt.
(auf meine eigene Gefahr hin)
ich bin überzeugt, das wenn du mich schon fragst, ob diese Programme "gewollt" sind, sie nicht unbedingt von Nöten sind.

nein, ich werde seit dem Durchlauf von malwarebytes' anti-malware nicht mehr daran gehindert bzw. verzögert es sich nicht.


Habt alle beide echt vielen Dank für eure bisherigen Mühen und eure zugewendete Zeit.
Wenn ich euch aus meinem Metier heraus einen Gefallen tuen könnte, würde ich euch sofort nen Kuchen per Post zukommen lassen. Vielen Dank nochmals

Hi,

wir löschen noch die beiden Files:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
c:\windows\System32\xa68148085.exe
c:\windows\System32\xa68147897.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

hey Chris,

habs erledigt. die Dateien sind aber noch da. zumindest ihr Symbole.

aber er sagt mir: (bei einem weiteren Durchlauf)

PendingFileRenameOperations Registry Data has been Removed by External Process!



Danke

Hi,

das hört sich nicht gut an...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann bemühen wir noch Prevx:
Poste eventuelle Funde!, nur die:
http://www.prevx.com/freescan.asp

Bitte prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht-> ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

chris

Avenger sagt, die Dateien sind nicht mehr vorhanden. ich hab sie dann auch nicht mehr gefunden

PrevX CSI hat auch was gefunden---ist jetzt weg


Diese Datei(sys) hab ich nicht gefunden.als ob sie nicht vorhanden ist.
ich hab den Pfad genauso befolgt und das hat auch so geklappt. aber sie war nicht da.



ich lass jetzt nacheinander malwarebytes' anti-malware; spybot search&destroy; prevx csi und SUPERAntiSpyware durchlaufen.

"Welche davon soll ich denn behalten?" Alle?

Gruß Rob

Hi,

von Spyboot halte ich eigentlich nicht viel, Prevx würde ich drauflassen, der verträgt sich eigentlich recht gut mit anderen Lösungen (allerdings ist das kein "Realtime"-Schutz, dazu z. B. Avira etc. (was halt einen Guard hat))...

Was hatte Prevx noch gefunden?

Wir prüfen noch kurz den Bootblock (war vor einiger Zeit bei den Hackern mal "inn"):
MBR-Rootkit

Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




beim ersten durchlauf ergab es, das user und kernel nicht funktionieren. beim zweiten anlauf hat es dann geklappt.

prevx hat nichts mehr gefunden.
das sagt es sei alles clean

Weiteres VorGehen?????

Hi,

was treibt der Rechner?
Zu finden ist jetzt nichts mehr, entweder was sehr neues (was noch kein Scanner anzeigen kann bzw. sich gut genug versteckt)...
Gehst Du über einen Router ins Internet?

Alternativ um alle möglichen Beeinflussungen ausschließen zu können, bleibt nur noch ein Scann von einer Boot-CD...
z. B.:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

chris

der läuft wieder spitze.
danke für deine Hilfe.

es ist jetzt wieder alles in Ordnung.
Grüße R.